Spécial Sécurité : le crash juridique et technique du RFID 

RFID, le crash juridique

L’université catholique de Radboud vient de remporter un double succès juridique. Souvenons-nous : en mars 2008, le Professeur Jacobs et son équipe parviennent à contourner le chiffrement faible qui protège l’une des cartes à RFID fabriquée par la société NXP. Une carte utilisée par un très grand nombre de régies de transports urbains dans le monde. Plutôt que de corriger leurs erreurs, les responsables de NXP engagent alors des poursuites contre les universitaires pour « communication irresponsable », et gèlent la publication de ces recherches, initialement prévue pour octobre prochain.

Dans un jugement en première instance du 18 juillet - récemment publié -, le Tribunal d’Arnhem lave l’Université et ses membres de tous soupçons et déboute NXP, estimant que la responsabilité n’était pas du fait des scientifiques qui ont découvert la faille, mais de l’entreprise qui, avec légèreté, a mis sur le marché un produit très loin d’être parfait.

En toute logique, le résultat des recherches sera donc publié en octobre prochain, conformément au calendrier établi.

Une valse d’étiquettes (intelligentes)

Lorsque le tribunal d’Arnhem s’est prononcé en faveur de Radboud, il a ipso facto donné son avis sur trois points importants. Tout d’abord, la sécurité par le secret (ou sécurité par l’obscurantisme) ne peut être retenue comme un argument commercial ou technique. En second lieu, et par conséquence, toute divulgation publique – d’autant plus responsable que l’équipementier a été prévenu largement avant publication des recherches - ne peut que procéder d’une démarche sécuritaire responsable. Et ce, à la fois en incitant le fabricant ou éditeur à améliorer la qualité de ses produits, mais également en prévenant d’éventuels utilisateurs des défauts du produit en question.

Enfin, ce jugement est une preuve supplémentaire de l’éclatant constat d’échec des RFID dans le domaine de la sécurité. Cette technologie, qui n’est jamais qu’une forme automatisée de la bonne vieille étiquette en papier, est de plus en plus souvent mal comprise, mal utilisée, mal vendue. Elle est présentée par certains de ses fabricants comme une sorte de panacée capable de réduire le nombre d’interventions humaines – donc les coûts - et de tracer des produits. Ce qui est vrai. Mais derrière ces arguments se cachent deux mésusages fréquents. A commencer par une traçabilité des objets « étiquetés RFID » qui se transforme par une « traçabilité des personnes consommant ou utilisant ces objets ». De la gestion des stocks ou des franchissements de portillon au flicage et au contrôle des allers et venues des citoyens, il n’y a qu’un pas, difficilement supportable. De ce mésusage découle une kyrielle de mauvaises utilisations, qui sont d’autant plus dangereuses que les informations stockées dans ces RFID et collectées aux points de contrôle sont faiblement protégées, susceptibles d’attaques MIM (par l’homme du milieu) ou par déni de service : confusion entre l’objet – ou la personne - et la trace électronique de cet objet ou de cette personne, absolue confiance en cette technologie alors que certains de ces aspects techniques ne sont pas encore maîtrisés par ceux qui les mettent en place…

Dans l’état actuel des choses, les RFID ne sont ni plus ni moins dangereux que n’importe quelle autre application informatique.